В современном мире информация и ее обработка играют ключевую роль в управлении и функционировании предприятий. Имея доступ к нужной информации можно правильно оценить текущую ситуацию, принять своевременные решения. Реалии современного мира таковы, что эффективность работы любой компании напрямую зависит от качества и оперативности управления бизнес процессами. В сферу управления включаются различные ресурсы — информация, персонал, технологические процессы, техника.
Одной из основных проблем, связанных с хранением и распространением данных информационных систем является возможность несанкционированного использования этих данных. Прежде всего, это актуально при хранении данных на съемных носителях и при дистрибуции информационных систем, в которых основную ценность представляют не программы, а данные и когда требуется исключить возможность использования этих данных в других информационных систем. Хорошим примером являются данные геоинформационных систем, которые почти всегда представляют собой предмет коммерческой и, зачастую, государственной тайны. При этом желательно, чтобы внедрение средств защиты информации не требовало радикального изменения технологии подготовки данных при проектировании информационных систем [1].
Рассмотрим основные пути возможного решения этой проблемы:
- Функции шифрования встраиваются в прикладное программное обеспечение, используемое для подготовки данных и в программы, входящие в состав информационных систем.
Такое решение требует обязательного участия разработчика программного обеспечения. Действие защиты распространяется только на данные, с которыми работает это программное обеспечение. Если пользователь использует программное обеспечение различных производителей, работающее с общими данными, то модернизация одного пакета потребует модернизации и других пакетов программного обеспечения, чтобы не возникло проблем с несовместимостью.
Несмотря на эти недостатки, такой подход наиболее эффективен при внедрении средств защиты информации в новые, разрабатываемые информационные системы и средства подготовки данных, поскольку этот метод позволяет учитывать специфику используемых форматов данных и освобождает пользователей от установки специализированного программного обеспечения для криптографической защиты данных.
- Функции шифрования обеспечиваются на уровне операционной системы (ОС).
В данном случае криптографическая защита данных может быть реализована без модификации прикладного программного обеспечения. Модули, осуществляющие эту защиту, поставляются в составе ОС и настраиваются на работу с определенными областями файловой системы. Такое решение является, пожалуй, самым дешевым. Тем не менее этот подход эффективен только для защиты данных, хранящихся на отдельно взятых компьютерах и абсолютно не пригоден для дистрибуции данных, особенно когда одинаковые данные используются в кроссплатформенных продуктах.
- Модули криптографической защиты предоставляются независимыми разработчиками.
Смысл данного подхода в том, что разработчики средств криптографической защиты данных создают специализированное программное обеспечение, обеспечивающее прозрачное шифрование данных при обращении конкретного приложения к файлам данных [2]. Преимуществами данного подхода является:
- отсутствие необходимости в модернизации существующего прикладного программного обеспечения;
- возможность разработки новых информационных систем на основе компонентных моделей, или с использованием библиотек сторонних разработчиков;
- возможность создания криптографических модулей, которые одинаково функционируют на различных платформах, что обеспечивает переносимость данных;
- разработка криптографического модуля может осуществляться под контролем заказчика, что гарантирует отсутствие закладных элементов.
Недостатками данного подхода являются:
– менее надежная защита по сравнению с криптозащитой, встроенной непосредственно в прикладное программное обеспечение, поскольку криптографический модуль функционирует между приложением и файловой подсистемой ОС, что может позволить злоумышленнику, владеющему легальным приложением осуществлять исследование криптографического модуля;
– производительность файловых операций может быть ниже, чем в случае криптографической защиты, встроенной в приложение, поскольку модуль будет обрабатывать все запросы к логическому диску, на котором размещаются защищаемые данные.
В настоящее время большинство информационных систем создаются с помощью универсальных систем разработки. Это могут быть как средства доступа к локальным базам данных, программные компоненты для решения задач в определенных прикладных областях (например, картографические компоненты), так и СУБД, работающие в архитектуре клиент-сервер. В этом случае, лучшим решением для задачи защиты данных является использование модулей криптозащиты независимых разработчиков.
Для того чтобы обеспечить надежную защиту файлов информационной системы на текущий момент и ближайшее будущее, в подсистеме информационной безопасности должны быть реализованы самые прогрессивные и перспективные технологии информационной защиты. К ним относятся:
– комплексный подход к обеспечению информационной безопасности файлов, предполагающий рациональное сочетание технологий и средств информационной защиты;
– применение защищенных виртуальных частных сетей VPN для защиты информационных файлов, передаваемых по открытым каналам связи;
– криптографическое преобразование данных для обеспечения целостности, подлинности и конфиденциальности информации;
– применение межсетевых экранов для защиты корпоративной сети от внешних угроз при подключении к общедоступным сетям связи;
– управление доступом на уровне пользователей и защита от несанкционированного доступа к файлам;
– защита информации на файловом уровне (путем шифрования файлов и каталогов) для обеспечения ее надежного хранения;
– защита файлов от вирусов;
– централизованное управление средствами информационной безопасности.
Обеспечение конфиденциальности данных осуществляют путем шифрования файлов с использованием симметричных и асимметричных алгоритмов шифрования.
В группу средств, обеспечивающих защиту конфиденциальности данных, входят системы шифрования дисковых данных и системы, шифрования файлов, передаваемых по компьютерным сетям. Основная задача, решаемая такими системами, состоит в защите от несанкционированного использования данных.
Обеспечение конфиденциальности данных, располагаемых на дисковых магнитных носителях, осуществляется путем их шифрования с использованием симметричных алгоритмов шифрования. Основным классификационным признаком для комплексов шифрования служит уровень их встраивания в компьютерную систему.
Работа прикладных программ с дисковыми накопителями состоит из двух этапов — «логического» и «физического». Логический этап соответствует уровню взаимодействия прикладной программы с операционной системой (например, вызов сервисных функций чтения/записи данных). На этом уровне основным объектом является файл. Физический этап соответствует уровню взаимодействия операционной системы и аппаратуры. В качестве объектов этого уровня выступают структуры физической организации данных — сектора диска [3].
Системы шифрования данных могут осуществлять криптографические преобразования данных на уровне файлов (защищаются отдельные файлы) и на уровне дисков (защищаются диски целиком).
К программам первого типа можно отнести архиваторы типа arj, которые позволяют использовать криптографические методы для защиты архивных файлов. Примером систем второго типа может служить программа шифрования Diskreet, входящая в состав популярного программного пакета Norton Utilities.
Другим классификационным признаком систем шифрования дисковых данных является способ их функционирования. По способу функционирования системы шифрования дисковых данных делят на два типа:
– системы прозрачного шифрования;
– системы, специально вызываемые для осуществления шифрования.
В системах прозрачного шифрования (шифрования «налету») криптографические преобразования осуществляются в режиме реального времени, незаметно для пользователя. Например, пользователь записывает подготовленный в текстовом редакторе документ на защищаемый диск, а система защиты в процессе записи выполняет шифрование файла.
Системы второго типа обычно представляют собой утилиты, которые необходимо специально вызывать для выполнения шифрования. К ним относятся, например, архиваторы со встроенными средствами парольной защиты.
Системы шифрования данных, передаваемых по компьютерным сетям, различаются по реализации и своим характеристикам в зависимости от используемого рабочего уровня модели взаимодействия открытых систем (модели OSI). Для передачи защищенных шифрованием данных в принципе могут быть использованы канальный, сетевой, транспортный, сеансовый, представительный или прикладной уровни модели OSI [4].
В случае канального шифрования защищается вся передаваемая по каналу связи информация, включая служебную. Этот способ шифрования обладает следующим достоинством: встраивание процедур шифрования на канальный уровень позволяет использовать аппаратные средства, что способствует повышению производительности системы. Однако у данного подхода имеются существенные недостатки:
– шифрование на канальном уровне всей информации, включая служебные данные транспортных протоколов, осложняет механизм маршрутизации сетевых пакетов и требует расшифрования данных в устройствах промежуточной коммутации (шлюзах, ретрансляторах и т. п.).
– шифрование служебной информации может привести к появлению статистических закономерностей в шифрованных данных. Это влияет на надежность защиты и накладывает ограничения на использование криптографических алгоритмов.
Шифрование передаваемых данных на сетевом уровне в настоящее время регламентируется новым протоколом IPSec, предназначенным для аутентификации, туннелирования и шифрования IP-пакетов. Стандартизованный консорциумом Internet Engineering Task Force (IETF) протокол IPSec вобрал в себя все лучшие решения по шифрованию пакетов и должен войти в качестве обязательного компонента в протокол IPv6. Протокол IPSec предусматривает не только стандартные способы использования шифрования конечными точками виртуального туннеля, но и стандартные методы идентификации пользователей или компьютеров при инициации туннеля, а также стандартные методы обмена и управления ключами шифрования между конечными точками.
Шифрование передаваемых данных на транспортном уровне осуществляется, в сущности, шифраторами, которые зачастую привязаны к единственному приложению, например, электронной почте. Наиболее известными из таких протоколов являются SMTP over Transport Layer Security, Secure Shell и т. д.
Литература:
- Шаханова М. В. Современные технологии информационной безопасности: учебное пособие. — Москва: Проспект, 2017. — 216 с.
- Аверченков В. И. Аудит информационной безопасности: учебное пособие для вузов: Флинта, 2016. — 269 с.
- В.Шаньгин Информационная безопасность и защита информации: ДМК Пресс, 2017. — 702 с.
- Шаханова М. В., Варлатая С. К. Криптографические методы и средства обеспечения информационной безопасности: учебно-методический комплекс. — Москва: Проспект, 2017. — 152 с.